Naturalmente, la considerazione da ultimo svolta, relativa alla “efficacia liberatoria” della dimostrazione della adozione (secondo di i parametri dello standard PCI-DSS)
delle misure di sicurezza richieste dal progresso tecnico, dalla natura dei dati e dalle specifiche caratteristiche del trattamento, proprio in forza del riferimento normativo ai tre ricordati criteri, sarà – ulteriormente – semplificata laddove, il titolare del trattamento, effettui proprio il trattamento di quei dati ai quali lo standard si applica direttamente; vale a dire, i dati relativi ai pagamenti effettuati con carta di credito.
Ma, questo punto, secondo chi scrive, vale la pena di verificare se, ed eventualmente, in quale misura (anche con riferimento alla adozione delle misure minime di sicurezza,di cui agli artt 33 e ss. del Codice Privacy, di cui si dirà diffusamente in seguito) il ricordato standard, possa essere efficacemente adottato ed applicato, al fine della dimostrazione dell’adempimento del dovere di sicurezza sopra richiamato, non solo con riferimento ai dati relativi ai pagamenti con carta di credito, ma, anche, con riferimento, almeno in Italia, ove non si rinviene uno standard legislativamente imposto, per la sicurezza delle informazioni, ad attività di trattamento che hanno ad oggetto dati di diversa natura (nello specifico, per quanto qui ci occupa, quelli sensibili).
Procediamo con ordine.
Si è detto, sin qui, che l’adozione, coerente ed effettiva, delle prescrizioni contenute nello standard PCI-DSS, può rilevare, anche con riferimento alla dimostrazione – nel caso di trattamento di dati relativi ai pagamenti con carta di credito (anche essi essendo ovviamente dati personali nel senso di cui all’art. 4 lett. b) del Codice Privacy) – dell’adempimento del dovere di sicurezza imposto sul titolare del trattamento, sul presupposto che PCI – DSS costituisce, allo stato, la best practice della sicurezza informatica in tale ambito, promanando proprio (di più, essendo contrattualmente imposto), da coloro che partecipano, direttamente, alla costituzione, gestione ed aggiornamento del circuito dei pagamenti mediante carta.
Si intende verificare ora, se, per le sue caratteristiche oggettive specifiche, PCI – DSS, possa essere utilmente (con la stessa efficacia liberatoria) impiegato al di fuori dell’ambito del trattamento dei dati relativi a carte di credito, per esempio, allorché si adottato per la protezione dei dati sensibili (che, lo ricordiamo sono quei dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale).
Siffatta verifica, ad ogni evidenza, non può prescindere, secondo lo scrivente, dalla ponderazione di almeno due fattori che appaiono determinanti, il primo, di carattere, formale – mandatorio – che deriva direttamente dalla possibilità di estensione interpretativa (coerente con la tesi) del dato, o dei dati, normativi alla cui stregua effettuare la verifica stessa, il secondo, di carattere sostanziale – pure mandatorio – che attiene, invece, alla valutazione concreta ed oggettiva dei livelli di sicurezza imposti dallo standard – in termini di struttura e contenuto dei processi di sicurezza, nonché di valutazione e controllo degli stessi.
Da un primo punto di vista, quindi, il confronto obbligato è con le disposizioni di legge, in materia di sicurezza che si applicano al trattamento dei dati sensibili, mentre, da un secondo punto di vista, occorrerà valutare se le disposizioni da ultimo ricordate, contemplino misure di sicurezza che sono soddisfatti dall’applicazione ex se delle prescrizioni dello standard PCI – DSS.
Per quanto riguarda le formulazioni normative impiegate dal legislatore, all’interno del codice in materia di protezione dei dati personali, oltre quello che si è già accennato, a proposito dell’art. 31 del Codice, occorre, per quanto riguarda il trattamento di dati personali (sensibili) effettuato su supporto elettronico, fare, necessariamente, riferimento, da un lato, alle disposizioni “generali” di cui all’art. 34, dall’altro, alle specifiche, disposizioni contenute nell’allegato B al Codice, recante, “Disciplinare Tecnico in materia di misure minime di sicurezza” ed infine, ma non per ultimo, alla disposizione di cui all’art. 22 comma 6 del Codice, la quale, espressamente prevede che: “I dati sensibili (…) contenuti in elenchi, registri o banche di dati, tenuti con l’ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l’utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente i intelligibili anche a chi è autorizzato ad accedervi”.
Inoltre, il Codice privacy, sul versante della protezione applicabile ai trattamenti di dati personali, definisce, esattamente, la nozione di misure minime di sicurezza, come: “il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi di cui all’art.31”. (segue…)